Ten poradnik poprowadzi Cię przez proces instalacji TLSCertyfikat /SSL do środowiska AWS Elastic Beanstalk, dzięki czemu można szyfrować dane z modułu równoważenia obciążenia w instancji Amazon Elastic Compute Cloud (Amazon EC2).
Jeśli certyfikat importowy polecenie się powiedzie, zwraca Nazwa zasobu Amazon (ARN) importowanego certyfikatu.
Teraz możesz przejść do następnego etapu dodawania detektorów do systemów równoważenia obciążenia.
Opona file: // prefiks mówi AWS CLI, aby załadować zawartość pliku w bieżącym katalogu. Oczywiście powinieneś zastąpić metadane certyfikatu własnymi. W szczególności elastyczna-fasolka-x509 powinien podać nazwę, aby wywoływać certyfikat w IAM.
Teraz możesz przejść do następnego etapu dodawania detektorów do systemów równoważenia obciążenia.
Przygotuj swoje środowisko elastycznej fasoli
Proces przygotowania środowiska Elastic Beanstalk Environment wykracza poza zakres tego przewodnika, dlatego założymy, że Twoje środowisko jest już skonfigurowane i zamiast tego skupimy się na procesie instalacji certyfikatu. Jeśli potrzebujesz więcej informacji na ten temat, zacznij od Dokumentacja AWS.Zdobądź TLS/ Certyfikat SSL
Aby skorzystać z certyfikatu, pierwszym krokiem jest: kup certyfikat z publicznie zaufanego urzędu certyfikacji, takiego jak SSL.com. Wybór odpowiedniego certyfikatu dla konkretnych potrzeb jest ważny, dlatego uprzejmie radzimy, aby się z nim zapoznać przewodnik. Jeśli potrzebujesz dodatkowych informacji dotyczących generowania CSR generacji, czyli jak zamówić certyfikat z SSL.com, odwiedź naszą baza wiedzy. Możesz również skontaktować się z naszym całodobowym zespołem wsparcia pod adresem support@ssl.com lub czat online. W sprawie wyceny, niestandardowych rozwiązań lub dużych zamówień prosimy o kontakt sales@ssl.com.Zaimportuj certyfikat do AWS
Certyfikat należy zaimportować do AWS, aby można go było później skonfigurować. Zalecanym narzędziem jest korzystanie z Menedżera certyfikatów AWS (ACM), o ile jest on dostępny w Twoim regionie. Jeśli tak nie jest, możesz przesłać swój certyfikat do AWS Identity and Access Management (IAM). Każdy przypadek przyjrzymy się osobno, ale wystarczy wykonać tylko jedną z poniższych procedur.Zaimportuj certyfikat do ACM
Importowanie certyfikatu do ACM można wykonać za pomocą konsoli lub interfejsu wiersza poleceń AWS (AWS CLI). Poniżej poprowadzimy Cię przez obie opcje.Importuj przez konsolę
- Otwórz konsolę ACM w https://console.aws.amazon.com/acm/home.
- Kliknij na Importuj certyfikat
- Zobaczysz trzy pola, które musisz wypełnić
- Organ certyfikatu: wprowadź certyfikat zakodowany w formacie PEM, który otrzymałeś od SSL.com. To powinno zacząć się od – – – – – ROZPOCZĘCIE CERTYFIKATU – – – – – i kończ z – – – – – ŚWIADECTWO KOŃCOWE – – – – –.
- Klucz prywatny certyfikatu: wprowadź zakodowany w formacie PEM, nieszyfrowany klucz prywatny otrzymany od SSL.com. To powinno zacząć się od – – – – – ROZPOCZNIJ KLUCZ PRYWATNY- – – – – i kończ z – – – – – ZAKOŃCZ KLUCZ PRYWATNY – – – – -.
- Łańcuch certyfikatów: wstaw łańcuch certyfikatów zakodowany w PEM.
- Kliknij na Przejrzyj i zaimportuj.
- Zobaczysz Przejrzyj i zaimportuj stronę. Musisz sprawdzić wyświetlone informacje o swoim certyfikacie, aby potwierdzić, że wszystko jest w porządku. Pola to:
- domeny — Lista w pełni kwalifikowanych nazw domen (FQDN) uwierzytelnionych za pomocą certyfikatu
- Termin upływa — Liczba dni do wygaśnięcia certyfikatu
- Informacje o kluczu publicznym — Algorytm kryptograficzny użyty do wygenerowania pary kluczy
- Algorytm podpisu — Algorytm kryptograficzny użyty do stworzenia podpisu certyfikatu
- Można używać z — Lista ACM usługi zintegrowane które obsługują typ certyfikatu, który importujesz
6. Jeśli wszystko się zgadza, wybierz import.
Importuj przez AWS CLI
Możesz również wybrać import certyfikatu za pomocą interfejsu AWS CLI. Aby to zrobić, musisz upewnić się, że:- Certyfikat zakodowany w PEM jest przechowywany w pliku o nazwie Certyfikat.pem.
- Zakodowany w PEM łańcuch certyfikatów jest przechowywany w pliku o nazwie CertyfikatChain.pem.
- Zakodowany w PEM, niezaszyfrowany klucz prywatny jest przechowywany w pliku o nazwie KluczPrywatny.pem.
$ aws acm import-certyfikat – plik certyfikatub://Certificate.pem \ –plik łańcucha certyfikatówb://CertificateChain.pem \ –plik klucza prywatnegob://PrivateKey.pem |
Prześlij certyfikat do IAM
Powinieneś używać uprawnień do przesyłania certyfikatu tylko wtedy, gdy ACM nie jest dostępny w Twoim regionie. Odbywa się to poprzez wpisanie następującego polecenia w AWS CLI. Pamiętaj, że powinieneś upewnić się, że:- Certyfikat zakodowany w PEM jest przechowywany w pliku o nazwie Certyfikat.pem.
- Zakodowany w PEM łańcuch certyfikatów jest przechowywany w pliku o nazwie CertyfikatChain.pem.
$ aws iam certyfikat-serwera-przesyłania –nazwa-certyfikatu-serwera-elastyczna-fasola-x509 –plik łańcucha-certyfikatów://CertyfikatChain.pem –plik-treści-certyfikatu://Certyfikat.pem –plik klucza prywatnego://PrivateKey.pem { „Metadane certyfikatu serwera”: { „Identyfikator Certyfikatu Serwera”: „AS5YBEIONO2Q7CAIHKNGC”, „Nazwa Certyfikatu Serwera”: „elastic-beanstalk-x509”, “Expiration”: “2017-01-31T23:06:22Z”, "Ścieżka": "/", „Arn”: „arn:aws:iam::123456789012:certyfikat-serwera/elastyczna-fasola-x509”, “UploadDate”: “2016-02-01T23:10:34.167Z” } } |
Dodaj słuchaczy do swoich systemów równoważenia obciążenia
Po zainstalowaniu certyfikatu musisz dodać detektory do systemów równoważenia obciążenia, aby włączyć HTTPS. Powinieneś wykonać następujące czynności:- Otwórz Elastyczna konsola fasoli, a następnie wybierz swoje środowisko.
- W okienku nawigacji wybierz systemu.
- W System równoważenia obciążenia kategoria, wybierz modyfikować.
- Następnym krokiem jest dodanie odbiornika dla portu 443. Procedura zależy od typu modułu równoważenia obciążenia w środowisku Elastic Beanstalk. Należy postępować zgodnie z zestawem instrukcji po wybraniu odpowiedniego typu równoważnika obciążenia, klasycznego, sieciowego lub aplikacji. Kroki są podobne, ale z kilkoma istotnymi różnicami.
Dodaj słuchaczy do Klasyczny system równoważenia obciążenia.
- Dodaj Dodaj słuchacza.
- W razie zamówieenia projektu Port, wprowadź port ruchu przychodzącego (zwykle 443).
- W razie zamówieenia projektu Protokółwybierz HTTPS.
- W razie zamówieenia projektu Instancja Port, wchodzić 80.
- W razie zamówieenia projektu Protokół instancjiwybierz HTTP.
- W razie zamówieenia projektu certyfikat SSL, wybierz swój certyfikat, a następnie wybierz Polityka SSL którego chcesz użyć z menu rozwijanego.
- Dodaj Dodaj, a następnie wybierz Aplikuj.
Dodaj słuchaczy do System równoważenia obciążenia sieciowego.
- Dodaj Dodaj słuchacza.
- W razie zamówieenia projektu Port, wprowadź port ruchu przychodzącego (zwykle 443).
- Dodaj Dodaj, a następnie wybierz Aplikuj.
Dodaj słuchaczy na Moduł równoważenia obciążenia aplikacji.
- Dodaj Dodaj słuchacza.
- W razie zamówieenia projektu Port, wprowadź port ruchu przychodzącego (zwykle 443).
- W razie zamówieenia projektu Protokółwybierz HTTPS.
- W razie zamówieenia projektu certyfikat SSL, wybierz swój certyfikat, a następnie wybierz Polityka SSL którego chcesz użyć z listy rozwijanej.
- Dodaj Dodaj, a następnie wybierz Aplikuj.